Hiányosan védett adat: a használat közbeni gyenge láncszem
A biztonsági stratégiák régóta az adatok két állapotára koncentrálnak: amikor nyugalmi állapotban vannak, illetve amikor mozgásban vannak. Ilyenkor titkosítás védi az adatokat, a hozzáférést pedig azonosítási kontrollok szabályozzák. Egy dolog azonban a legkevésbé védett: az adatok futtatás közbeni állapota.
Amikor egy MI-modell dolgozik, érzékeny információkat kezel a memóriában. Az adathalmazok mellett a vállalatok szellemi tulajdonát jelentő modellsúlyok is a memóriába kerülnek, a válaszok, utasítások és minden háttéradat ott keletkezik és átalakul. Ezek mind a háttérrendszer számára is láthatóvá válnak. Az ügy súlyát mutatja, hogy még azok a szervezetek is veszélybe sodorják saját adataikat és modelljeiket, amelyek különben erős védelmi rendszerekkel rendelkeznek – éppen a futtatás pillanatában.
A védelem gyenge pontjai három szakaszban
Az MI-hez kapcsolódó biztonsági problémák gyökere nem a klasszikus határvédelemnél, hanem három, alig védett életszakaszban jelentkeznek. Az első a tanítási (training) szakasz, ahol az adatok és modellsúlyok több rendszeren mozognak: tárhelyeken, osztott számítási platformokon, különféle rétegeken és hibakereső eszközökön. Itt gyakran melléktermékek, naplók, cache-ek jönnek létre, amelyek meglepő helyeken tárhatnak fel érzékeny információkat. Maga a modell is visszaszivárogtathat információkat a tanítóadatokból, és a legsúlyosabb, amikor a modellsúlyokat hanyagul kezelik, hiszen ezek az értékes szellemi tőke hordozói.
A második szakasz az inferencia (következtetés), amikor a modell már élesben üzemel. Ekkor érzékeny adatok, például felhasználói promptok, a generált válaszok, belső céges adatok áramlanak több API-n, naplózási rendszeren és hibakeresőn keresztül – gyakran olvasható formában. Normál üzem közben is kiszivároghat adat: a hibakereső panelek túl részletesek lehetnek, a naplók a vártnál tovább élnek, a megosztott infrastruktúra pedig többszörözheti a veszélyt.
A harmadik, egyben legkritikusabb szakasz a futási idő (runtime). Itt fut maga a modell, a titkosított adatok dekódolódnak, a modellsúlyok a memóriában vannak. Ilyenkor az egész rendszer arra épít, hogy maga a háttérrendszer megbízható – ha viszont ezt feltörik vagy rosszul konfigurálják, minden más védelem értelmét veszti: a kulcsok kijuthatnak, a folyamatok elindulnak, az érzékeny adat kiszolgáltatódik. Ebből adódóan ma a futtatási fázis a legnagyobb biztonsági rés.
Növekvő veszélyek, ahogy az MI egyre elterjedtebb lesz
Az MI alkalmazása nemcsak fokozza a kockázatokat, hanem megsokszorozza azokat. Ezek a munkafolyamatok ritkán vannak elszeparálva: szervezeteknél elosztott rendszerek, osztott gyorsítók, több-bérlős infrastruktúrák egészítik ki a belső és külső szolgáltatásokat, ráadásul folyamatosan, nem szakaszosan működnek.
Ez azt eredményezi, hogy több adathalmaz jár körbe, több modell fut több környezetben, és egyre nő a lehetőség, hogy futás közben szivároghasson az adat. Közben a feldolgozott információ értéke is ugrásszerűen nő: saját fejlesztésű modellek, szenzitív céges adatok döntenek kimenetekről, üzleti stratégiáról.
Mindez azt jelenti, hogy egyetlen gyenge pont a futtatás során rendszerszintű, súlyos kockázatot jelenthet.
Újra kell gondolni a bizalmi modellt
A probléma nem eszközhiány, hanem hibás feltételezés arról, hogy milyen szintű megbízhatóságot várhatunk el az MI futtatási környezetétől. A hagyományos biztonság azt feltételezte, hogy a rendszer határain belül a folyamatok már megbízhatóak. Az MI dinamikus működése – folyamatos adatfeldolgozás, nehezen áttekinthető rendszerek, akár részben külső környezetek – megkérdőjelezi ezt a hagyományt.
Különösen fontos lesz, hogy a védelem ne csak a rendszerhozzáférésre fókuszáljon, hanem arra is, mi történik futás közben. Szükséges tehát:
1. Az adatok védelme a feldolgozás alatt is,
2. A modellsúlyokhoz való jogosulatlan hozzáférés megakadályozása futtatáskor,
3. Csak akkor engedni végrehajtani munkafolyamatokat, ha azok valóban megbízható környezetben futnak.
Itt kapnak szerepet a konfidenciális számítástechnika és a hardveralapú izoláció. Ezek az új irányok már nem feltételezik a biztonságot, hanem kriptográfiailag igazolják.
A valódi védelem: a használat pillanatában
Miközben rengeteg energia ment eddig az adat tárolásának és továbbításának védelmére, az MI világában a legnagyobb rizikó a modell futtatásának pillanatában jelentkezik. Itt találkozik az adat, az algoritmus és a döntéshozatal – és itt kell a legszigorúbb védelemnek is érvényesülnie.
Azok a cégek, amelyek idejében felismerik ezt a váltást, biztonságosan skálázhatják MI-működésüket. Akik viszont még mindig a régi meghatározásokból indulnak ki, jelentős veszélynek teszik ki legmodernebb rendszereiket. Az MI esetében ma már nem a külső korlátok, hanem a belső folyamatok határozzák meg a valódi biztonságot.
